RSS

Hasła jednorazowe (OTP) w oparciu o OPIE

17 Lu

Na pewno każdemu zdarzyło się tak że musiał się logować poprzez SSH z nieswojego komputera lub gdzieś gdzie był publiczny dostęp do internetu poprzez wifi. Niebezpieczeństwem w takich sytuacjach jest to że ktoś może wykraść nasze hasła dostępowe. Można zmieniać hasła po każdej takiej sytuacji lub zabezpieczyć się poprzesz użycie haseł jednorazowych. Fajnym rozwiązaniem jest OPIE.

instalacja na serwerze

sudo -i
apt-get install opie-server
cp /usr/share/doc/libpam-opie/examples/pam.d/common-auth /etc/pam.d/common-auth
opiepasswd

Kiedy uruchomimy opiepasswd zobaczymy coś takiego :

Updating root:
You need the response from an OTP generator.
New secret pass phrase:
otp-md5 499 ub1981
Response:

na innym komputerze z zainstalowanym opie-client wpisujemy swoje nowe tajne hasło mające 10-127 znaków :

asus@Asus:~$ otp-md5 499 ub1981
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
HARM GOES HOB PIN FIGS BUD

i przepisujemy HARM GOES HOB PIN FIGS BUD

You need the response from an OTP generator.
New secret pass phrase:
otp-md5 499 ub1981
Response: HARM GOES HOB PIN FIGS BUD

ID root OTP key is 499 ub1981
HARM GOES HOB PIN FIGS BUD

od tej pory żeby zalogować się na konto roota będziemy proszeni o podanie hasła jednorazowego
bartek@ubuntu:~$ su - root
Password:
otp-md5 498 ub1981 ext, Response:
root@ubuntu:~#

odpowiedź generujemy na innej maszynie

logowanie przez OPIE działa tylko przy „su – user” dlatego dobrze jest wyłączyć sobie dostęp w /etc/sudoers (możliwość logowanie się poprzez „sudo -i” )

np:

# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL

jeżeli chcemy żeby inne konta też używały haseł jednorazowych musimy na nich odpalić opiepasswd i postępować tak jak wyżej

podobno można generować odpowiedzi na telefonach ale nie testowałem tego

linki:

http://www.inner.net/opie

http://wiki.linuxquestions.org/wiki/Opie

Reklamy
 
Dodaj komentarz

Opublikował/a w dniu Luty 17, 2008 w Linux

 

Tagi: , , ,

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

 
%d blogerów lubi to: